STUXNET – strayed from its intended target (November 8, 2012 4:26 PM PST) …item 2.. Hacker Claims to Have Breached Adobe (NOVEMBER 14, 2012, 12:49 PM) … di marsmet481, su Flickr
Ritorno su un argomento, si potrà obiettare collaterale rispetto al core dell’archivistica, sul quale avevo scritto alcune righe qualche mese fa: lo scandalo Datagate. In quel post sottolineavo la gravità del comportamento del Governo federale degli Stati Uniti, accusato di portare avanti un programma di spionaggio con l’accordo delle principali aziende high-tech a stelle e strisce, e su come ciò potesse costituire, soprattutto in termini di “fiducia”, un vulnus per l’archivistica digitale.
Nel medesimo articolo segnalavo pure come, in base ad indiscrezioni, l’NSA statunitense e la corrispettiva GHCQ britannica disponessero di strumenti in grado di aggirare e superare le misure comunemente adottate per proteggere le comunicazioni e le transazioni che avvengono in Internet, quali ad esempio i protocolli https ed SSL; ebbene, le notizie che arrivano in questi giorni da Oltreoceano fanno per certi versi impallidire queste anticipazioni.
In un approfondito articolo apparso sul Washington Post viene infatti sottolineato come le attività della National Security Agency fossero altamente “aggressive” (come si intuisce dal nome in codice del progetto, ovvero MUSCULAR) e questo, si badi, ad insaputa delle varie Google ed Yahoo!, le quali alla luce di queste nuove rivelazioni verrebbero sostanzialemente scagionate dall’accusa di aver fornito porte di accesso privilegiate ai propri sistemi (le cosiddette front-door; in verità è altamente probabile che queste vie d’ingresso venissero effettivamente fornite ma che alle agenzie d’intelligence ciò non bastasse, motivo che le ha spinte a cercare vie “alternative” al limite della legalità). Ma, esattamente, qual è il punto debole individuato dall’NSA per violare gli apparentemente protettissimi data center costruiti delle big del web in ogni angolo del pianeta?
In estrema sintesi gli agenti dell’NSA riuscirebbero ad infiltrarsi nel delicato punto di interscambio, detto front-end, che si viene a creare tra l’Internet pubblica e le cloud (costituite a loro volta da più data center tra loro interconnesse mediante cavi in fibra ottica stesi da parte sempre delle Internet company) delle varie Google, Apple, Yahoo!, etc. E’ proprio questo, infatti, il punto in cui le protezioni (tipo SSL) vengono aggiunte / rimosse; una volta dentro raccogliere una mole impressionante di dati è un gioco da ragazzi e questo perché le comunicazioni all’interno della cloud avvengono in chiaro e le aziende, per assicurare ridondanza dei dati, procedono periodicamente al trasferimento di enormi quantità di dati da un data center all’altro. Basta intercettare questo flusso per far sì che la “pesca” assuma veramente contorni miracolosi!
Le reazioni non si sono fatte attendere: Steve Wozniak, co-fondatore di Apple assieme a Steve Jobs e da sempre ritenuto l’idealista della coppia, ha apertamente criticato la dipendenza da parte delle aziende nei confronti della cloud, vista come un qualcosa di difficilmente controllabile.
Ciò che stupisce in particolar modo è il capovolgimento di ruoli e prospettive che si è verificato nel giro di pochi mesi; io stesso più volte ho messo in guardia, in questo blog, circa i pericoli derivanti dal fatto che un po’ tutti (dai governi ai singoli cittadini) ci appoggiassimo ad infrastrutture cloud delle quali poco o nulla sapevamo e sulle quali ancor meno potevamo. Proprio il governo degli Stati Uniti, nel momento in cui riponeva parte dei suoi archivi correnti in una apposita G-Cloud realizzata da Amazon, sembrava confermare la sensazione che a reggere le fila fossero le solite, gigantesche Internet company. Alla luce delle ultime rivelazioni lo scenario non è così chiaro e lineare come poteva apparire: lo Stato sembra tornare a far la voce grossa (per un’analisi di come essi ancora controllino le reti di comunicazione globali mi permetto di rinviare ad un mio articolo, seppur scritto in altro contesto e con altre finalità) e le aziende high-tech, per contro, altrettante pedine di un gioco ben più grande!
Appurato dunque che la tradizionale “filiera” Stato => archivi => controllo (= Potere) non è, per il momento, stata intaccata (al massimo c’è il dubbio se al primo termine vada affiancata la voce “Aziende tecnologiche”), resta il fatto che l’infrastruttura tecnologica attorno alla quale sono stati costruiti i nostri archivi digitali si sia dimostrata drammaticamente vulnerabile.
Quali sono, pertanto, le prospettive? Naturalmente qui entriamo nel campo del probabile ma, considerando la tradizionale idea di riservatezza che è insita nel concetto di archivio (esemplificata dal caso dell’Archivum Secretum Vaticanum, che è per l’appunto l’archivio privato e “riservato” del Papa, sul quale egli vi “esercita in prima persona la suprema ed esclusiva giurisdizione“), non mi sorprenderebbe se i vari soggetti produttori (Stati ed aziende in primo luogo), al fine di “tutelare” i propri documenti più importanti, rispolverassero la prassi di creare sezioni d’archivio speciali e particolarmente protette.
Che modalità di protezione? A riguardo il citato articolo del Washington Post, che ha interpellato ingegneri di Google, ha già ricordato come l’azienda, finora concentrata sulle sole difese perimetrali, stia procedendo a cifrare pure tutte le comunicazioni che avvengono internamente tra data center. A mio vedere quella della cifratura è una via, allo stato attuale delle cose, obbligata ma non risolutiva, nel senso che storicamente ogni codice cifrato è stato, prima o poi, decifrato.
Purtroppo pure le ulteriori alternative ipotizzate non sono decisive: si parla da tempo, ad esempio, di autenticazione attraverso dati biometrici ma bisogna ammettere che le tecnologie non sono ancora pienamente mature (il caso dell’iPhone 5 hackerato ricorrendo a delle semplici foto delle impronte digitali è significativo). Non percorribile è pure la strada che, vedendo nella Rete una fonte di minacce e pericoli, prevede di isolare la parte da difendere mettendola del tutto offline: la solita NSA sarebbe in grado, attraverso un dispositivo top-secret basato sulle onde radio, di accedere ed alterare dati e documenti contenuti su computer anche quando questi non sono collegati ad Internet!
Personalmente ritengo che una soluzione esista e consista, paradossalmente, in un “ritorno al passato”, cioè alla carta: posto che andrebbero ugualmente predisposte le massime misure di sicurezza (relativamente a luoghi, controllo degli accessi, etc.), sicuramente un foglio di carta, redatto con una macchina da scrivere, non è intercettabile! Considerando poi che su carta andrebbero i documenti più importanti, quelli cioè che verosimilmente andranno conservati nel tempo, si ovvierebbe pure alla complessa questione della conservazione del digitale nel lungo periodo. Per la serie, come prendere due piccioni con una fava!
Memoria digitale 